Ne biste vodili svoj plavi tim jednom godišnje, pa zašto biste prihvatili ovaj lošiji raspored za svoju ofanzivnu stranu?
Vaši timovi za sajber sigurnost su pod intenzivnim pritiskom da budu proaktivni i da pronađu slabosti vaše mreže prije nego što to učine protivnici. Ali u mnogim organizacijama, ofanzivna sigurnost se i dalje tretira kao jednokratni događaj: godišnji pentest, kvartalni angažman crvenog tima, možda sprint revizije prije roka za usklađenost .
To nije odbrana. To je pozorište.
U stvarnom svijetu, protivnici ne djeluju u rafalima. Njihovo izviđanje je kontinuirano, njihovi alati i taktike se stalno razvijaju, a nove ranjivosti se često obrnutim inženjeringom pretvaraju u funkcionalne exploite u roku od nekoliko sati nakon objavljivanja zakrpe.
Dakle, ako vaša ofanzivna validacija nije jednako dinamična, ne samo da zaostajete, već ste i izloženi.
Vrijeme je da se prevaziđe pentest jednom godišnje.
Vrijeme je za izgradnju Centra za ofanzivne sigurnosne operacije .
Zašto godišnje testiranje penetracije nije dovoljno#
Testovi penetracije u određenom trenutku i dalje imaju svoju ulogu i ostaju zahtjev za usklađenost. Međutim, oni nisu dovoljni u okruženjima koja se mijenjaju brže nego što se mogu procijeniti. To je tačno iz više razloga:
- Obim je ograničen. Većina penetracijskih testova u preduzećima ima ograničen opseg kako bi se izbjeglo ometanje poslovanja, ali svi znamo da napadače ne zanima vaš obim ili, osim ako nisu u prikrivenom načinu rada, ometaju vaše poslovanje.
- Kontrole tiho propadaju. Drift je stalan. EDR politika se popušta. SIEM pravilo se krši. A godišnji testovi prodiranja nisu napravljeni da bi se otkrili ovi problemi. Sigurnosna kontrola koja je “prošla” na testu vrlo lako može propasti kada je zaista važno, dvije sedmice kasnije.
- Pristup se tiho eskalira. U okruženjima Active Directoryja, pogrešne konfiguracije se tiho akumuliraju tokom vremena, ugniježđene grupe, zastarjeli računi, previše privilegovani identiteti servisa i dobro poznati putevi eskalacije privilegija su uobičajeni. Ovo nisu samo teorijski rizici; oni se aktivno koriste decenijama. Napadačima nisu potrebni zero-day napadi da bi uspjeli. Oslanjaju se na slabe odnose povjerenja, pomjeranje konfiguracije i nedostatak vidljivosti.
- Vremenska kašnjenja. Dok se izvještaj o penetraciji dostavi, vaše okruženje se već promijenilo. Jurite za onim što je bilo , a ne za onim što jeste . To je kao da gledate prošlomjesečni snimak sa kamere na vratima da vidite šta se dešava danas.
Međutim, ovo nije poziv na ukidanje pentestinga.
Sasvim suprotno, ručni testovi pentestova donose ljudsku kreativnost, kontekstualnu svijest i suparničko razmišljanje koje nijedna automatizacija ne može replicirati.
Ali oslanjanje samo na njih, posebno kada se izvode samo jednom ili dva puta godišnje, ograničava njihov uticaj.
Izgradnjom ofanzivnog SOC-a i operacionalizacijom kontinuirane validacije, organizacije omogućavaju penetratorima da se fokusiraju na ono što najbolje rade: otkrivanje graničnih slučajeva , kreativno zaobilaženje odbrane i istraživanje složenih scenarija izvan dometa automatizacije.
Ukratko: ofanzivni SOC ne zamjenjuje penetrativno testiranje, već mu daje prostora za evoluciju.
Bez kontinuirane validacije, sigurnosna pozicija postaje snimak stanja, a ne izvor istine.
Od odbrane u određenom trenutku do upornog napada#
Centar za ofanzivne sigurnosne operacije (Ofenzivni SOC) mijenja model od jednokratnog pentesta kao dijela odlučno defanzivnog SOC-a do tima koji kontinuirano nadmašuje protivnike razmišljajući i djelujući kao napadač, svaki dan. Umjesto čekanja na probleme da bi odgovorio, Ofenzivni SOC je kolaborativan, transparentan i izgrađen da otkrije opipljive rizike i pokrene stvarna rješenja, u realnom vremenu.
Razmislite o tome na ovaj način: Ako tradicionalni SOC podiže upozorenja o napadima koji do vas dođu , ofanzivni SOC podiže upozorenja o ranjivostima koje bi mogle …
A alati koji ga pokreću? Vrijeme je da bacite svoje zastarjele međuspremnike i kontrolne liste i da pokrenete rješenja za simulaciju prodora i napada (BAS) i automatizirano testiranje prodiranja .
Osnovni stubovi ofanzivne SOC
1. Neprestano otkrivanje onoga što je izloženo
Ne možete validirati ono što niste pronašli. Površina napada vaše organizacije prepuna je cloud opterećenja, neupravljanih resursa, shadow IT-a, zastarjelih DNS zapisa i javnih S3 baza podataka. Vrijeme je da prihvatite da periodična skeniranja više nisu dovoljna.
Otkrivanje mora biti uporno i kontinuirano, baš kao što bi to učinio napadač.
2. Simulacija napada u stvarnom svijetu pomoću BAS-a
Simulacija prodora i napada (BAS) ne nagađa. Simulira TTP-ove iz stvarnog svijeta mapirane na industrijski priznate okvire poput MITRE ATT&CK® kroz cijeli lanac prodora.
BAS odgovara na niz praktičnih, ali i važnih pitanja:
- Može li vaš SIEM otkriti napad dampingom akreditiva?
- Hoće li vaš EDR blokirati poznati ransomware?
- Da li vaš WAF zaustavlja kritične web napade poput Citrix Bleed ili IngressNightmare?
BAS se odnosi na kontrolirano, sigurno testiranje, svjesno produkcije, i izvršavanje istih tehnika koje koriste napadači, protiv vaših stvarnih kontrola, bez stvarnog ugrožavanja vaših podataka, profita i reputacije. BAS će vam tačno pokazati šta funkcioniše, šta ne uspijeva i gdje najbolje usmjeriti svoje napore.
3. Testiranje lanca iskorištavanja s automatiziranim testiranjem prodiranja
Ponekad pojedinačne ranjivosti same po sebi ne moraju biti štetne. Međutim, protivnici pažljivo povezuju više ranjivosti i pogrešnih konfiguracija kako bi postigli svoje ciljeve. Pomoću automatiziranog testiranja prodiranja , sigurnosni timovi mogu provjeriti kako bi se pravo kompromitiranje moglo odvijati, korak po korak, od početka do kraja.
Automatizirano testiranje prodora simulira pretpostavljeni prodor iz sistema povezanog s domenom, počevši s pristupom korisniku s niskim privilegijama ili korisniku na nivou sistema. Iz ove baze, otkriva i provjerava najkraće i najneprikrivenije puteve napada na kritičnu imovinu, kao što su privilegije administratora domene, povezivanjem stvarnih tehnika poput krađe akreditiva, lateralnog kretanja i eskalacije privilegija.
Evo primjera:
- Početni pristup HR radnoj stanici otkriva mogućnost Kerberoastinga, izazvanog pogrešno konfiguriranim dozvolama servisnog računa.
- Probijanje lozinki van mreže otkriva podatke o vjerodajnicama u otvorenom tekstu.
- Te akreditacije omogućavaju lateralno kretanje do druge mašine.
- Na kraju, simulacija bilježi NTLM heš administratora domene, bez aktiviranja upozorenja i intervencija kontrola.
Ovo je samo jedan scenario među hiljadama, ali odražava stvarne taktike koje protivnici koriste za povećanje svojih privilegija unutar vaše mreže .
4. Detekcija zanošenja i praćenje položaja
Sigurnost nije statična. Pravila se mijenjaju. Konfiguracije se mijenjaju. Kontrole tiho otkazuju.
Ofanzivni SOC prati rezultate tokom vremena. Prati kada vaša rješenja za prevenciju i detekciju počnu da propadaju, kao što su:
- Ažuriranje EDR politike koje onemogućava poznate potpise zlonamjernog softvera
- SIEM upozorenje koje se tiho prestaje aktivirati nakon izmjene pravila
- Pravilo zaštitnog zida koje je izmijenjeno tokom održavanja, ostavljajući port izloženim
Ofanzivni SOC vam ne govori samo šta je propalo, već vam govori i kada je počelo da ne uspijeva.
I ovako ostajete ispred: ne reagiranjem na upozorenja, već otkrivanjem svojih ranjivosti prije nego što budu iskorištene.
Gdje se Picus uklapa
Picus pomaže sigurnosnim timovima da operacionaliziraju ofanzivni SOC , uz pomoć objedinjene platforme koja kontinuirano provjerava izloženost na svim nivoima prevencije, detekcije i odgovora.
Kombinujemo:
- BAS za testiranje kako vaše kontrole reaguju na prijetnje iz stvarnog svijeta.
- Automatizirano testiranje penetracije za simuliranje kretanja napadača nakon pristupa i identifikaciju visokorizičnih puteva.
- Poznate biblioteke za prijetnje i ublažavanje prijetnji za simuliranje napada i brže zatvaranje praznina.
- Besprijekorna integracija s vašim postojećim SOC paketom.
I Picus ne daje samo obećanja. Plavi izvještaj za 2024. godinu je utvrdio da:
- Organizacije koje koriste Picus smanjile su kritične ranjivosti za preko 50% .
- Kupci su udvostručili efikasnost prevencije u roku od 90 dana.
- Timovi su ublažili sigurnosne propuste 81% brže koristeći Picus .
Sa Picusom, možete hrabro prevazići pretpostavke i donositi odluke potkrijepljene validacijom.
To je vrijednost ofanzivnog SOC-a: fokusirano, efikasno i kontinuirano poboljšanje sigurnosti.
Zaključak: Validacija nije izvještaj, već praksa
Izgradnja ofanzivnog SOC-a ne znači dodavanje više kontrolnih ploča, rješenja ili buke; radi se o pretvaranju vašeg reaktivnog sigurnosnog operativnog centra u mehanizam za kontinuiranu validaciju.
To znači dokazati šta se može iskoristiti, šta je zaštićeno i šta zahtijeva pažnju.
Picus pomaže vašim sigurnosnim timovima da urade upravo to, operacionalizirajući validaciju na cijelom vašem steku.
Spremni da istražite detalje?
Preuzmite CISO-ov Vodič za validaciju sigurnosti i izloženosti na:
- Razumjeti komplementarne uloge simulacije proboja i napada i automatiziranog testiranja prodiranja
- Naučite kako odrediti prioritet rizika na osnovu iskorištavanja, a ne samo ozbiljnosti
- Pogledajte kako ugraditi validaciju izloženosti faktoru u svoju CTEM strategiju za kontinuirano, mjerljivo poboljšanje.
Izvor:The Hacker News